FICHE RÉCAPITULATIVE NUMERIQUE EN SANTÉ : CYBERSÉCURITÉ EN SANTÉ

1. Enjeux de la cybersécurité dans le secteur de la santé

Pourquoi la santé est une cible ?

• Valeur des données de santé :

o Les données de santé se vendent très cher sur le dark web.

o Elles contiennent des informations sensibles et personnelles.

• Vulnérabilités des systèmes :

o Multiplicité des points d’entrée : utilisateurs, appareils, lieux d’accès.

o Infrastructures vieillissantes et technologies obsolètes.

o Priorité au partage rapide de données pour les soins, parfois au détriment de la sécurité.

o Formation insuffisante en cybersécurité pour les professionnels.

Exemples marquants de cyberattaques :

1. Centre Hospitalier de Dax (2021) : attaque par rançongiciel qui a paralysé le système informatique.

2. CHU de Rouen (2019) : paralysie totale des services et transfert de patients.

3. Groupe Ramsay Santé (2019) : attaque massive sur 120 sites sans impact sur les soins.

2. Les types de cybermenaces

1. Rançongiciels (Ransomware) :

• Les données sont chiffrées par des pirates, qui réclament une rançon pour fournir la clé de décryptage.

• Exemple : CH d’Arles (2021) avec menace de divulgation des données patient.

2. Malwares (Logiciels malveillants) :

• Incluent virus, vers, chevaux de Troie, logiciels espions.

• Objectif : endommager les systèmes, voler des données, ou détourner des ressources (ex.
cryptojacking).

3. Hameçonnage (Phishing) :

• Exploite l'erreur humaine via des e-mails ou SMS frauduleux.

• Exemple : CHU de Montpellier (2019), infecté par un courriel malveillant.

4. Attaques par déni de service (DDoS) :

• Saturation des serveurs pour rendre un service inaccessible.

• Exemple : Sites liés au Covid-19, souvent ciblés.

5. Attaques sur la chaîne d’approvisionnement :

• Exemple : Attaque « confusion de dépendance » contre des entreprises comme Microsoft et Tesla.

Profils d'attaquants :

1. États et agences de renseignement : Espionnage stratégique.

2. Organisations criminelles : Motivées par l’argent.

3. Hacktivistes : Motivations idéologiques ou politiques.

4. Amateurs : Par curiosité ou défi personnel.

3. Règles d’hygiène informatique

1. Sécuriser l'accès physique et les équipements

• Locaux :

o Verrouiller portes et fenêtres, utiliser des alarmes.

• Matériel :

o Protéger les équipements avec des câbles antivol ou des coffres.

2. Sécuriser les postes de travail

• Gestion des comptes :

o Comptes nominatifs avec rôles spécifiques (administrateur, utilisateur).

o Suppression des comptes inutilisés.

• Mots de passe robustes :

o Longueur de 12 caractères minimum, combinaison de lettres, chiffres, symboles.

o Renouveler régulièrement et ne jamais partager.

• Authentification multi-facteurs (MFA) :

o Combinaison d’un mot de passe et d’un second facteur (SMS, application, etc.).

3. Protéger les logiciels et données

• Mises à jour :

o Automatiques pour les systèmes, logiciels et antivirus.

• Chiffrement :

o Rendre les données illisibles sans clé.

o Exemple : protéger les sauvegardes ou documents envoyés.

• Sauvegardes régulières :

o Réaliser des copies locales et en ligne, avec des supports protégés.

4. Sécuriser les échanges

• Utiliser des messageries sécurisées de santé (MSSanté) pour les échanges professionnels.
 • Éviter les plateformes non sécurisées (WhatsApp, Gmail).

4. Réagir en cas d’incident de cybersécurité

Actions immédiates :

1. Déconnecter l’appareil infecté du réseau (câble, Wi-Fi).

2. Prévenir l’équipe informatique ou un fournisseur de service.

3. Documenter l’incident sur cybermalveillance.gouv.fr.

4. Notifier les autorités compétentes :

o CNIL : En cas de violation du RGPD.

o Police ou gendarmerie : Si une infraction est suspectée.

5. Référentiels et organismes de cybersécurité

1. Organismes nationaux

1. ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) :

o Élaboration de normes de cybersécurité.

o Publication du guide d’hygiène informatique.

2. CERT Santé :

o Assistance 24h/24 pour les établissements de santé face aux cybermenaces.

2. Référentiels clés

1. PGSSI-S :

o Politique Générale de Sécurité des Systèmes d’Information de Santé.

o Guide national pour sécuriser les données de santé.

2. Guide d’hygiène informatique (ANSSI) :

o 42 mesures pratiques pour protéger les systèmes et données.

6. Points importants sur les données de santé

• Respect du RGPD (Règlement Général sur la Protection des Données) :

o Collecte minimale et utilisation encadrée des données.

o Droit des patients : accès, rectification, opposition.

o Notification à la CNIL en cas de violation.

• Hébergement des données :

o Obligation d’utiliser des hébergeurs certifiés HDS (Hébergement de Données de Santé).

• Former le personnel :

o Sensibilisation aux cybermenaces et bonnes pratiques.

o Consultation de ressources officielles (ex. cybermalveillance.gouv.fr).

• Adopter une charte informatique :

o Règles d’utilisation des équipements.

o Responsabilités et sanctions en cas de non-respect.

8. Questions fréquentes pour les examens

1. Quelles sont les principales menaces en cybersécurité pour le secteur de la santé ?

2. Citez des exemples d’attaques par rançongiciel dans le domaine hospitalier.

3. Quelle est la différence entre phishing et ransomware ?

4. Quelles sont les principales mesures pour protéger un poste de travail ?

5. Pourquoi les données de santé sont-elles particulièrement sensibles ?